10.února 2007

PC a internet Windows Vista: BitLocker

Novinkou ve Windows Vista je BitLocker Drive Encryption, který slouží k šifrování dat uložených na disku. Zabezpečení uživatelskými hesly funguje sice dobře, ale neumí si poradit s tím, když někdy vezme fyzicky disk a připojí ho do jiného počítače, na němž je administrátor. Potom snadno převezme vlastnictví vašich souborů a dostane se tak k citlivým datům. A obranou právě proti tomuto je BitLocker. Real-timově šifruje data při práci s diskem.

Správu šifrování pomocí BitLockeru najdete v Control panel, kde je ve složce Security ikonka s názvem BitLocker. Pro použití šifrování je nutné mít v počítači BIOS, který je TPM kompatibilní. V případě, že tento BIOS nemáte, lze tuto podmínku obejít pomocí USB Flash klíčenky, což si ukážeme později. Nejprve je důležité si vyjasnit pojmy Systémový disk a Bootovací disk.

Systémový disk je ten, na který se přesměruje po POST testu bootování. Jedná se o Aktivní disk, na kterém se zpravidla nachází soubor BOOTMGR a složka BOOT. Naopak bootovací disk je ten, kde se nachází složka WINDOWS. Kroutíte-li nevěřícně hlavou, tak vězte, je to opravdu tak (a to už i ve Windows XP). Systémový disk je ten, ze kterého se bootuje a bootovací disk je ten, kde leží systém. Většinou je i bootovací i systémový disk tentýž, ale nemusí.

Ale zpět k tomu, proč o tom mluvím. Chceme-li zašifrovat bootovací disk, je třeba mít bootovací a systémový disk každý na jiné partition. Je to pro to, aby systém měl možnost načíst minidriver pro BitLocker před zahájením vlastního dešifrování a spouštění. Tohoto můžeme docílit dvěma způsoby – před instalací Windows Vista a nebo po ní. Pro následující vysvětlování si disky popíšeme takto: Systémový disk (tedy ten, ze kterého se bootuje) bude S: a bootovací disk (tedy ten, kde leží systém) bude C:

Chceme-li při instalaci tyto disky rozdělit, zvolíme jazyk a ve chvíli, kdy máme kliknout na ikonku Install Windows, zvolíme vlevo dole System Recovery Option, místo operačního systému dáme Next a následně zvolíme Command Prompt. Následně zadáme následující sekvenci příkazů:

  • diskpart
  • select disk 0
  • clean (smaže existující Partition table v případě, že existují)
  • create partition primary size 1500 (Soubory ve finále zaberou několik desítek MB, ale vzhledem k tomu, že Microsoft doporučuje 1,5 GB, budeme se jich raději držet.)
  • assign letter=S
  • active
  • create partition primary
  • assign letter=C
  • exit

Následně příkazem format zformátujeme obě partition. Potom zavřeme Command Prompt a budeme pokračovat v instalaci na disk C:.

V případě, že chceme rozdělit systémový a bootovací disk na již nainstalovaných Windows, je třeba pravým tlačítkem kliknout na Computer a vybrat Manage. Následně v záložce Storage zvolit Disk Management. Vybereme pravým tlačítkem disk, ze kterého vykousneme část pro systémový disk a vybereme Shrink Volume a zadáme velikost místa 1500 MB. Následně z volného místa vytvoříme Primary Partition, naformátujeme, přiřadíme jí písmenko S: a označíme jako Aktivní. Protože na disku nejsou soubory potřebné pro bootování, je nutné po restartu nabootovat z instalačního CD a provést Recovery Systému (podobně, jako jsme se dostávali při instalaci do Command Promptu).


Update 12. 5. 2007

Pro start systému musí být na disku S: složka BOOT a soubor BOOTMGR. Jejich zkopírování zajistíme například takto:

  • xcopy c:\boot s:\boot /e /h
  • xcopy c:\bootmgr s:\bootmgr /h

Nyní máme tedy disk rozdělený tak, jak je potřeba a můžeme se vrhnout na vlastní šifrování pomocí technologie BitLocker. Podporuje-li náš BIOS technologii TPC spustíme v Control Panelu ikonku BitLocker. Zvolíme Turn On BitLocker u našeho systémového disku. Důležité je dobře si uložit Recovery Password, který bude potřeba, kdybychom někdy potřebovali disk vložit do jiného PC například z důvodu úmrtí základní desky či jiné HW komponenty. BitLocker nabízí možnost uložit heslo na USB disk, do složky a nebo vytisknout na tiskárnu. Následně povolíme Run BitLocker System Check a zvolíme restart. Následně proběhne kontrola disku a jeho zašifrování.

Pokud náš BIOS nepodporuje technologii TPM, je možné uložit spouštěcí klíč místo do BIOSu na USB Flash disk. Potom je třeba tento USB disk vždy při startu PC připojit. Abychom mohli tuto variantu využít je třeba spustit Group Policy Object Editor (gpedit.msc) a vybrat větev: Local Computer Policy – Administrative Templates – Windows Components – BitLocker Drive Encryption. V politice s názvem Control Panel Setup: Enable Advanced Option je třeba nastavit Enabled a zvolit Allow BitLocker without a compatibile TPM. Následně je dobré politiku aktualizovat pomocí příkazu gpupdate /force. Následuje zapnutí šifrování podobně, jako jsem již popsal, pouze s tím rozdílem, že na začátku zvolíme Require Startup USB Key at every startup, vložíme USB disk a nahrajeme na něj Startup Key.

Mám-li celý tento článek shrnout, tak již víme, že BitLocker slouží k real-time šifrování dat na disku. Na to, aby šel bootovací disk zašifrovat, nesmí být shodný s diskem systémovým. Na to, aby se dala technologie BitLocker používat, musíme mít BIOS kompatibilní s technologii TPM a v případě, že nemáme, lze to obejít pomocí USB Flash disku, který budeme muset vkládat do počítače při každém spuštění. Závěrem musím připomenout, že máte být při šifrování disku velmi opatrní, abyste o data nepřišli sami třeba díky tomu, že ztratíte Recovery Password. Je třeba si uvědomit, že třeba vadný disk je často možné z části přečíst a tak z něj zachránit alespoň nějaká data, ale pokud je šifrovaný, většinou už z něj nic nedostanete a proto je potřeba zvážit, zda se opravdu šifrování dat vyplatí.


Aktualizace 19. 11. 2007

Tak BitLocker umí šifrovat i jiné než systémové partition, ale doposud to neumí přes webové rozhraní a je na to potřeba použít příkazové řádky a příkazu manage-bde.wsf.

k zakódování disku D:, uložení klíče na flasdisk F: a zobrazení recovery hesla slouží:

cscript manage-bde.wsf -on d: -recoverykey f:\ -recoverypassword

Pokud zašifrujete jinou než systémovou partition, bude po restartu nepřístupná. Pro její automatické zpřístupnění použijte:

cscript manage-bde.wsf –autounlock –enable d:

Toto způsobí, že se dešifrovací klíč uloží na systémovou partition (která samozřejmě musí být zašifrovaná) aautomaticky se použije k dešisfrování datového disku.

V případě, že nechcete automaticky dešifrovat disk, použijte toto:

cscript manage-bde.wsf -unlock d: -rk f:

Pokud chcete zjistit stav šifrování disků, použijete toto:

cscript manage-bde.wsf -status

Hledáte-li správce sítě nebo prostě nekoho kdo umí spravovat servery, hledejte na www.petr-hladis.cz

Přečteno: 12332x | Komentářů: 46x | Kategorie: PC a internet

Komentáře čtenářů

1. GRAVATAR - Petr20. 2. 2007 21:18:00
Zdravím. Velmi pěkný článek a na tuto metodu se chystám. Mám NTB s TPM, tak jsem zvědav. Chtěl bych se zeptat, zda BitLocker zašifruje pouze oddíl s instalací systému Windows, či je možné zašifrovat i další partition, na které mám citlivá data? Disk mám rozdělený na 1.5GB - 48GB - 50GB. Díky
2. GRAVATAR - sokolik@sokolik.czSokolík20. 2. 2007 21:24:00
[1]: Kladu si od začátku stejnou otázku a nějak jsem nikde nenašel zmínku o tom, že by šel začifrovat i další oddíl. Sám TPM na notebooku taky nemám, takže jsem zkoušel pouze virtuálně a do určité míry. Každopádně by mě přišlo logické, kdybych mohl šifrovat hlavně datový disk. Programy ať si vezme kdo chce. Každopádně mi to tuto volbu nenabídlo.

Obávám se, že na šifrování datového disku nechal Microsoft prostor třetím stranám. Šifrovat nějak rozumně systémový disk je pro cizí programy asi dost problém, takže se vydal tímto směrem.

Nebo jsem někde něco přehlédl?

Reklama ETARGET:

3. GRAVATAR - romano@post.czRoman Černovský25. 2. 2007 21:28:00
Dobrý večer, v tuto dobu umí Bitlocker (bohužel) šifrovat jen systémovou partition. Revize a umožňění zabezpečení i jiných partition se chystá do revize v SP1 pro Windows Vista.
4. GRAVATAR - roman.duris@siemens.comRomand26. 2. 2007 12:24:00
Pokud náš BIOS nepodporuje technologii TPM - znamená to, že nové desky mají TPM, ale je potřeba aktualizovat BIOS. Právě v těchto dnech řeším BitLocker na své Vistě Ultimate, a ačkoliv je to nová deska od Intelu, není nalezen TPM. Je možné, že mi "chybí" pouze driver, nebo skutečně musím trpně přihlížet na USB flash?
5. GRAVATAR - Pavel L.14. 3. 2007 10:11:00
Jak řekl sám autor článku, disk který je šifrovaný a dojde u něj k poškození- již neobnovíte, tedy disk šifrovaný systémem obsaženým ve Vistě. Existují jiné ač komerční nástroje které to umožňují, ale tento ne. Osobně pokud považuji některá data za tak citlivá, že je chci ochránit pomocí šifrování, jsou pro mne tak důležitá že nebudu riskovat nemožnost obnovy těchto dat..K čemu je ochrana vašich dat, když se k nim pak nedostanete ani vy.
6. GRAVATAR - GK13. 6. 2007 12:46:00
Takhle pres ruku, to je teda mazec. Co se tyce sifrovani, nedam dopustit na DCPP (DriveCrypt Plus Pack) od Securstar, nejenze nemusite nic rozdelovat (disk na systemovy a bootovaci), ale umi i sifrovat tolik partitions, kolik jen mate v pocitaci. V pripade poruchy nabootovat z recovery CD, ale pokud zapomenete heslo, mate proste smulu !!!. Vliv tohoto sifrovani: Z prumerne cteci rychlosti pole 124MB/s po zasifrovani asi 105-110MB/s. Ale pokud bezne v pocitaci presouvate velke objemy dat, pocitite zpomaleni a vytizeni procesoru (tvari se v spravci uloh jako "system") . . .

Jo a malem bych zapomnel, ma to preboot autentifikaci, ktera muze vypadat ruznymi zpusoby, napr. jen vypise "Hard disk 0 failure" a nic se nedeje, po zadani platneho hesla zacne system bootovat ;-)

GK
7. GRAVATAR - lbpilsen@seznam.czTesar6. 8. 2007 11:16:00
Připojuji se k GK. Také doporučuji DriveCrypt Plus Pack. Je opravdu jednoduchý a umí vše.

Reklama ETARGET:

8. GRAVATAR - SarahQuinn@seznam.czSilvie21. 8. 2008 10:55:00
Doporučuji program DisCryptor - žádné zpomalení práce na počítači, různé bezpečnostní profily, bezpečné šifrování pomocí nejlepších šifer, při zapomenutí hesla (!!!) možnost dešifrovat data pomocí systémového klíče!, funkce bezpečného mazání, zálohování a mnohem více... pokud někdo přemýšlí o důkladném zabezpečení dat, toto je určitě jedno z nejlepších řešení.
9. GRAVATAR - Apperacen@newtopmail.xyzApperacen11. 4. 2022 19:50:00
cialis 5mg cost https://bestadalafil.com/ - Cialis Uoempn Clomid Methode Billings <a href="https://bestadalafil.com/">buy cialis usa</a> Cialis Brand Name Pills To Buy https://bestadalafil.com/ - buy cialis pro It might also be depression. Ozvlxn
10. GRAVATAR - Aerogue@beaumail.xyzClourry1. 9. 2022 3:29:00
<a href=https://cialisfstdelvri.com/>purchase cialis</a> Drugs interactions include
11. GRAVATAR - nefsreisy@benjaminmail.xyzSpoulse1. 9. 2022 5:47:00
<a href=http://cialisfstdelvri.com/>purchasing cialis online</a> Friendly service, they know their regular customers by name
12. GRAVATAR - efficky@beaumail.xyzefficky3. 9. 2022 7:32:00
<a href=https://buypriligyo.com/>priligy reviews</a> After taking tadalafil can attempt of sexual intercourse for 36 hours

Reklama ETARGET:

13. GRAVATAR - AmattVomo@benjaminmail.xyzAmattVomo3. 9. 2022 9:49:00
Various men, when encountering ED erectile dysfunction or premature ejaculation PE for the first time, are ashamed of their problems and don t go to the specialist <a href=http://buypriligyo.com/>where to buy priligy in malaysia</a> If you prefer a shorter-acting ED medication, or if you have long QT syndrome, Viagra might be a better choice
14. GRAVATAR - Hagiags@beaumail.xyzHagiags5. 9. 2022 5:41:00
No significant difference was found between the baseline patient characteristics of Group I and Group II <a href=https://vtopcial.com/>buy cialis online without a prescription</a>
15. GRAVATAR - unjurse@benjaminmail.xyzunjurse5. 9. 2022 7:56:00
<a href=https://vtopcial.com/>viagra cialis online</a> For example, food allergies and allergies to medications do not typically cause allergic rhinitis
16. GRAVATAR - meskneesk@beaumail.xyzmeskneesk7. 9. 2022 8:04:00
<a href=http://cheapcialiss.com/>order cialis online</a> ED is a problem for many older men and one of the best options to treat it has been Sildenafil, better known as Viagra
17. GRAVATAR - Oblispaps@benjaminmail.xyzOblispaps7. 9. 2022 10:20:00
<a href=https://cheapcialiss.com/>cialis pills for sale</a> Did we choose burgundy because we knew a lot of teams weren t using it and it would look good on the ice

Reklama ETARGET:

18. GRAVATAR - Dronimism@beaumail.xyzEmbocky10. 9. 2022 5:39:00
With polycystic ovary syndrome. <a href=http://clomida.com/>how do clomid work</a> things may be different now.
19. GRAVATAR - intisrunc@benjaminmail.xyzintisrunc10. 9. 2022 7:54:00
Hum Mol Genet. <a href=http://clomida.com/>buy provera and clomid online</a> Another risk to consider is the increased chance of multiples which is around 10 as compared to the natural rate of twinning, which is between 1-2.
20. GRAVATAR - emeliasef@beaumail.xyzemeliasef13. 9. 2022 8:11:00
<a href=https://tamoxifenolvadex.com/>hcg nolvadex clomid pct</a>
21. GRAVATAR - orderce@benjaminmail.xyzorderce13. 9. 2022 10:09:00
<a href=http://tamoxifenolvadex.com/>tamoxifen hair loss</a>
22. GRAVATAR - fulgelt@beaumail.xyzfulgelt16. 9. 2022 22:57:00
a Serum from a healthy individual was negative; b serum obtained from the patient on July 23, 2015 was positive magnification 630 10 4. <a href=https://buydoxycyclineon.com/>can you drink alcohol while taking doxycycline</a>

Reklama ETARGET:

23. GRAVATAR - toreago@benjaminmail.xyztoreago17. 9. 2022 1:15:00
The guidance represent the proprietary and copyrighted property of IDSA. <a href=http://buydoxycyclineon.com/>doxycycline birth control</a>
24. GRAVATAR - excandade@onymail.xyzexcandade7. 10. 2022 13:06:00
Because February is my birthday month <a href=https://buylasixon.com/>hctz vs lasix</a> 2015, 71, 51 56
25. GRAVATAR - geomire@benjaminmail.xyzgeomire7. 10. 2022 15:57:00
The level of PARP cleavage was determined by the presence of 85 kDa band upper panel <a href=http://buylasixon.com/>lasix mechanism of action</a>
26. GRAVATAR - ohilik@pazew.fodiscomail.comogozeexied7. 10. 2022 20:16:00
http://slkjfdf.net/ - Ixehjegea <a href="http://slkjfdf.net/">Uxoioz</a> kuk.xhtf.sokolik.cz.oud.iv http://slkjfdf.net/
27. GRAVATAR - iqimocav@pazew.fodiscomail.comeiyidro7. 10. 2022 20:34:00
http://slkjfdf.net/ - Egahah <a href="http://slkjfdf.net/">Icafuh</a> fon.gnay.sokolik.cz.wqe.hl http://slkjfdf.net/

Reklama ETARGET:

28. GRAVATAR - axzohite@ereqd.fodiscomail.comoaxuqoase10. 10. 2022 3:10:00
http://slkjfdf.net/ - Ahefec <a href="http://slkjfdf.net/">Ogeced</a> geo.jkxq.sokolik.cz.jsv.rw http://slkjfdf.net/
29. GRAVATAR - ioitome@ereqd.fodiscomail.comokahitevisi10. 10. 2022 3:48:00
http://slkjfdf.net/ - Atafic <a href="http://slkjfdf.net/">Owojuu</a> cxm.esvu.sokolik.cz.taw.gh http://slkjfdf.net/
30. GRAVATAR - Naxaffela@onymail.xyzNaxaffela13. 10. 2022 3:21:00
Father served as the designated quarterback, and son sped through routes, running fly, post and hook patterns <a href=http://bestcialis20mg.com/>cheap cialis online canadian pharmacy</a>
31. GRAVATAR - Empobgoma@benjaminmail.xyzEmpobgoma13. 10. 2022 7:52:00
<a href=https://bestcialis20mg.com/>buy generic cialis online</a> The complex, non linear, multi dimensional nature of big data is accompanied by unique challenges and opportunities when employed for processing and analysis to derive actionable insights
32. GRAVATAR - Cyroige@barrymail.xyzCyroige17. 10. 2022 15:28:00
Here we present two patients in whom copper IUDs were found to have missing fragments of copper wire despite removal of an otherwise intact IUD found in utero <a href=https://bestcialis20mg.com/>buy cialis online no prescription</a>

Reklama ETARGET:

33. GRAVATAR - plaubbida@benjaminmail.xyzplaubbida29. 10. 2022 10:25:00
B, the protective effect of 1, 25 VD against genotoxicity in VDR depleted cells <a href=http://stromectol.autos/>who manufactures stromectol</a>
34. GRAVATAR - plaubbida@benjaminmail.xyzplaubbida29. 10. 2022 13:09:00
<a href=https://stromectol.autos/>stromectol online uk</a> Growth inhibition relative to control was assessed for each cell line at least twice on two different batches from different cell vials thawed from the liquid nitrogen stock
35. GRAVATAR - Zootthory@newonlinemail.xyzZootthory8. 11. 2022 10:41:00
Gonsalves, Wilson I; Broniowska, Katarzyna; Jessen, Erik; Petterson, Xuan Mai; Bush, Alexander Graham; Gransee, Jaimee; Lacy, Martha Q; Hitosugi, Taro; Kumar, Shaji K Scientific reports <a href=https://priligy.me/>priligy 30 mg</a>
36. GRAVATAR - Zootthory@newonlinemail.xyzZootthory9. 11. 2022 3:35:00
Several authors have shown that body dissatisfaction and a desire to weigh less remain stable across the female life span, while appearance anxiety, habitual body surveillance, and self objectification decrease with age <a href=http://priligy.me/>priligy sg</a>
37. GRAVATAR - Quexerolo@benjaminmail.xyzQuexerolo10. 11. 2022 19:26:00
Loss of 32 P postlabeled adducts from the liver after cessation of dosing with tamoxifen takes many weeks, suggesting either that DNA repair mechanisms are saturated or that removal of tamoxifen adducts is slow <a href=http://nolvadex.one/>nolvadex vs arimidex</a>

Reklama ETARGET:

38. GRAVATAR - Quexerolo@benjaminmail.xyzQuexerolo10. 11. 2022 22:04:00
Furthermore, because none of the patients received chemotherapy, the results are not confounded by potential cognitive alterations induced by chemotherapy <a href=http://nolvadex.one/>how to remain intimate when taking tamoxifen</a>
39. GRAVATAR - addedetem@mailuk.siteaddedetem17. 11. 2022 2:03:00
<a href=https://clomid.mom/>clomid oral tablet 50 mg order online</a> L buthionine sulfoximine BSO is a specific Îł glutamylcysteine synthetase inhibitor that blocks the rate limiting step of GSH biosynthesis and, in doing so, depletes the intracellular GSH pool in both cultured cells and whole animals 73
40. GRAVATAR - Slaldycle@topmailnew.xyzSlaldycle18. 11. 2022 15:22:00
<a href=http://doxycycline.world/>doxine without prescription canada</a> com 20 E2 AD 90 20Pharmacy 20Viagra 20Pfizer 20 20Viagra 20Informacion 20En 20Espanol viagra informacion en espanol Autumn Sundays for many of us especially in D
41. GRAVATAR - stirutt@newonlinemail.xyzstirutt18. 11. 2022 15:49:00
<a href=http://stromectol.ink/>stromectol india</a> A Kaplan Meier estimates of the proportion of B 14 and B 20 tamoxifen treated patients with
42. GRAVATAR - stirutt@newonlinemail.xyzstirutt19. 11. 2022 14:04:00
<a href=https://stromectol.ink/>stromectol tablets buy online</a> Further reports showed a similar early chondrodysplasia of Smad1 and Smad5 double cKO mice 21, confirming the vital role of the canonical Smads 1 5 signaling pathway controlling embryonic chondrogenesis

Reklama ETARGET:

43. GRAVATAR - addedetem@mailuk.siteaddedetem19. 11. 2022 22:40:00
GnRH agonist analogues are used to lower LH, FSH, and estradiol levels and to create a temporary post menopausal state 59; 60 <a href=http://clomid.mom/>clomid oral tablet 50 mg order online</a>
44. GRAVATAR - Slaldycle@topmailnew.xyzSlaldycle20. 11. 2022 0:52:00
<a href=https://doxycycline.world/>fish doxycycline</a> Preventive Services Task Force is an independent panel of experts sponsored by the Agency for Healthcare Research and Quality AHRQ
45. GRAVATAR - duchthusy@barrettmail.xyzduchthusy23. 11. 2022 8:40:00
Breast cancer is making up one quarter of all new female cancer cases diagnosed worldwide <a href=https://lasix.autos/>lasix 12.5</a>
46. GRAVATAR - duchthusy@barrettmail.xyzduchthusy23. 11. 2022 21:53:00
Hotspot point mutations in the ligand binding domain of estrogen receptor α ER and genomic rearrangements producing ESR1 fusion genes are the two major types of mutations that are associated with endocrine resistance <a href=http://lasix.autos/>lasix iv</a> Emilio ntTsrethwlGse 6 17 2022

Přidat vlastní komentář k článku



Z důvovů ochrany proti spamu prosím do následujícího políčka napište texy "NOSPAM":

Chcete-li ke komentáři přidat svou fotku nebo jinou ikonku, postupujte podle návodu.


TOPlist

[CNW:Counter]